Trojan-GameThief.Win32.Magania.dbtv

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, относящаяся к семейству троянцев ворующих пароли от пользовательских учетных записей on-line игр. Является приложением Windows (PE-EXE файл). Имеет размер 126464байта. Упакована при помощи ASPack. Распакованный размер – около 516 КБ. Написана на С++.

Инсталляция

После запуска троянец копирует свое оригинальное тело в каталог хранения временных файлов текущего пользователя под именем:

%Temp%\herss.exe

Устанавливает файлу атрибуты "Скрытый", "Только для чтения", "Системный".

Для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"="%Temp%\herss.exe"

Деструктивная активность

После запуска троянец, для получения доступа к другим процессам, повышает привилегии своему процессу. В зависимости от наличия запущенного процесса "AVP.exe" троянец под разными именами извлекает из своего тела вредоносный драйвер. Если "AVP.exe" не был обнаружен – сохраняет драйвер под именем:

%System%\drivers\klif.sys

Файл имеет размер 3840 байт и детектируется антивирусом Касперского как Trojan.Win32.Zapchast.ccf.

Если был обнаружен процесс антивируса "AVP.exe" - тогда переписывает системный драйвер (Microsoft CD-ROM аудио фильтр):

%System%\drivers\cdaudio.sys

Создает службу с именем "KAVsys" и при помощи нее запускает вредоносный драйвер. После запуска драйвера удаляет ключ реестра:

[HKLM\System\CurrentControlSet\Services\KAVsys]

а также сам файл:

%System%\drivers\klif.sys

или

%System%\drivers\cdaudio.sys

Выполняет поиск процесса с именем "livesrv.exe" (BitDefender Security Update Service). После обнаружения запущенного процесса "livesrv.exe", троянец находит месторасположение исполняемого файла и перемещает из данного каталога в корневой каталог логического диска C: все исполняемые файлы ("exe") и файлы библиотек ("dll") с их оригинальными именами, добавляя новое расширение "vcd", например:

С:\livesrv.exe.vcd

Находит и открывает "Проводник":

%WinDir%\explorer.exe

Если оригинальный файл троянца находится не в корневом каталоге локального диска – вредонос прекращает свою работу. В другом случае открывает при помощи "Проводника" корневой каталог локального диска, на котором расположен исполняемый файл троянца. Для контроля уникальности своего процесса в системе троянец создает уникальные идентификаторы с именами "Game_start", "DALXBHDFGERTONGOJK_POP", "MN_XADLEBCBAXCSDFGEWQCDDD0", "KJLDSOIUBGDSEROPOFGSFSIKDQ_MN". Затем извлекает из своего тела вредоносную библиотеку, которую сохраняет под именем:

%Temp%\cvasds<rnd>.dll

где rnd – десятичное число.

Файл имеет размер 86016 байт и детектируется антивирусом Касперского как и оригинальный файл троянца Trojan-GameThief.Win32.Magania.dbtv. Устанавливает файлу атрибуты "Скрытый", "Только для чтения", "Системный". В отдельном потоке, 72000 раз в цикле, ищет диалоговые окна антивируса Касперского с именами классов "AVP.AlertDialog", "AVP.Product_Notification". Окно с именем класса "AVP.AlertDialog" троянец закрывает, имитируя клик мышью по кнопке диалогового окна. Окно с именем класса " AVP.Product_Notification " – закрывает путем передачи окну сообщения закрытия. Выполняет поиск процесса:

RavMon.exe

При нахождении, во всех потоках данного процесса, ищет окна с именем класса "#32770" и пытается закрыть их. Выполняет внедрение вредоносного кода в адресное пространство процесса "explorer.exe". В результате чего происходит запуск на выполнение вредоносной библиотеки "cvasds<rnd>.dll". Библиотека троянца внедряется во все запущенные приложения. Используя данную библиотеку, троянец выполняет следующие действия:

• Определяет установленный в системе язык, прочитав значение параметра "InstallLanguage" ключа реестра:

  [HKLM\System\CurrentControlSet\Control\Nls\Language]

• Для скрытия файлов с атрибутами "Скрытый", "Системный" троянец создает следующие параметры в ключах системного реестра:

  [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "Hidden"=dword:00000002
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
  "ShowSuperHidden"=dword:00000000
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
  Folder\Hidden\SHOWALL]
  "CheckedValue"=dword:00000000
  

• Если родительским процессом библиотеки является процесс "iexplore.exe" – в потоке, с интервалом в 500 миллисекунд, ищет окно с именем класса "IEFrame". В случае успеха – возвращает дескриптор найденного окна для дальнейшей обработки данных, вводимых пользователем в браузере.
• Разрешает автозапуск приложений со сменных носителей, добавляя следующее значение параметра ключа системного реестра:

  [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  "NoDriveTypeAutoRun"=dword:00000091
  

• Создает ключи реестра:

  [HKCR\CLSID\MADOWN]
  "urlinfo"="dswdfre.q"
  
  [HKLM\Software\Classes\CLSID\MADOWN]
  "urlinfo"="dswdfre.q"
  

• Добавляет в список исключений NOD32 маску домена, с которого выполняет загрузку файлов:

  [HKLM\Software\ESET\ESET Security\CurrentVersion\Plugins\01000200
  \Profiles\@My profile\UrlSets\Node_00000000]
  "Masks"="*www*|www.16***.com*"
  

• Выполняет загрузку вредоносного ПО, которое располагается по следующим URL:

  http://www.16***u.com/1mg/am.rar
  http://www.go***ccf.com/1mg/am1.rar
  

  файлы сохраняются в каталоге временного хранения файлов текущего пользователя соответственно с именами:

  %Temp%\am.exe
  %Temp%\am1.exe
  

  Файл имеет размер 159232 байта и детектируется антивирусом Касперского как Trojan-GameThief.Win32.Magania.dtyy.

  Затем троянец открывает файл, расшифровывает заголовок исполняемого файла и запускает на выполнение. Вредонос извлекает исполняемый файл в каталог временного хранения файлов текущего пользователя с именем:

  %Temp%\apiqq.exe

  После этого, для автоматического запуска при каждом следующем старте системы добавляет ссылку на исполняемый файл в ключ автозапуска системного реестра:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  "api32" = "%Temp%\apiqq.exe"
  

  Извлекает из себя вредоносную библиотеку, которую сохраняет под одним из следующих имен:

  %Temp%\apiqq0.dll 
  %Temp%\apiqq1.dll
  

  Файл имеет размер 98304 байта и детектируется антивирусом Касперского как Trojan-GameThief.Win32.Magania.dtyy.
• После перезагрузки снимает все перехватчики, устанавливаемые в SSDT (System Service Dispatch Table) в том числе и антивирусными приложениями.
• Блокирует службу обновления антивируса Касперского путем модификации файла "PrUpdate.ppl", а также противодействует выполнению обновления следующих антивирусов:

  ALYac
  Avast
  AVG
  Antivir Guard
  McAfee 
  Norton Security Suite
  NOD32
  Symantec 
  Spyware Doctor Internet Security
  Trend Micro Internet Security
  Virus Chaser
  

• Похищает конфиденциальные данные из учетных записей пользователя для следующих игр:

  World of Warcraft
  SilkRoad Online
  Knight Online
  CABAL Online
  Metin2
  MapleStory
  Dofus
  Guild Wars
  Aion
  Dungeon Fighter Online
  MU Online
  Seal Online
  EVE Online
  

• Похищенные данные отправляет на сервер злоумышленника по следующим ссылкам:

  http://go***6s.com/y2y3/mfg/lin.asp
  http://go***6s.com/y2y3/mwo/lin.asp
  http://go***6s.com/y2y3/mqs/lin.asp
  http://go***6s.com/y2y3/msl/lin.asp
  http://go***6s.com/y2y3/ohs/lin.asp
  http://go***6s.com/y2y3/myt/lin.asp
  http://go***6s.com/y2y3/xfg/lin.asp
  http://go***6s.com/y2y3/tjt/lin.asp
  http://go***6s.com/y2y3/odo/lin.asp
  http://go***6s.com/y2y3/ofg/lin.asp
  http://go***6s.com/y2y3/dyt/lin.asp
  http://go***6s.com/y2y3/mjz/lin.asp
  http://go***6s.com/y2y3/yhz/lin.asp
  http://go***6s.com/y2y3/mnf/lin.asp
  http://go***6s.com/y2y3/mmu/lin.asp
  http://go***6s.com/y2y3/txw/lin.asp
  http://go***6s.com/y2y3/mev/lin.asp
  

  Распространение

  Для своего дальнейшего распространения троянец копирует файл:

  %Temp%\herss.exe

  в корневые каталоги всех локальных и сетевых дисков, а также сменных носителей, с именем:

  X:\wyskq6lt.exe

  где X – буква логического диска. Для автозапуска исполняемого файла троянец создает файл:

  X:\autorun.inf

  в который записывает следующие строки:

  [AutoRun]
  open=wyskq6lt.exe
  shell\open\Command=wyskq6lt.exe
  

Созданным файлам троянец устанавливает атрибуты "Скрытый", "Только для чтения", "Системный".

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить параметры в ключах системного реестра:

   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "api32" = "%Temp%\apiqq.exe"
   "cdoosoft"="%Temp%\herss.exe"
   

2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Изменить значения параметров ключей реестра:

   [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden"=dword:00000002
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "ShowSuperHidden"=dword:00000000
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   "CheckedValue"=dword:00000000
   [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoDriveTypeAutoRun"=dword:00000091
   [HKLM\Software\ESET\ESET Security\CurrentVersion\Plugins\01000200
   \Profiles\@My profile\UrlSets\Node_00000000]
   "Masks"="*www*|www.163*.com*"
   

   На

   [HKСU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "Hidden"=dword:00000001
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced]
   "ShowSuperHidden"=dword:00000001
   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\
   Advanced\Folder\Hidden\SHOWALL]
   "CheckedValue"=dword:00000001
   [HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   "NoDriveTypeAutoRun"=dword:00000255
   [HKLM\Software\ESET\ESET Security\CurrentVersion\Plugins\01000200
   \Profiles\@My profile\UrlSets\Node_00000000]
   "Masks"=""
   

4. Удалить ключи реестра:

   [HKCR\CLSID\MADOWN]
   [HKLM\Software\Classes\CLSID\MADOWN]
   

5. Удалить файлы:

   %Temp%\herss.exe
   %Temp%\apiqq.exe
   %Temp%\apiqq0.dll 
   %Temp%\apiqq1.dll
   %Temp%\am.exe
   %Temp%\am1.exe
   X:\wyskq6lt.exe
   X:\autorun.inf
   %Temp%\cvasds<rnd>.dll
   

   где rnd – десятичное число.
6. Выполнить восстановление антивирусных компонентов.
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

• Выполняет потенциально-опасные действия

Технические детали

Имеет размер 126464 байт.

Инсталляция

После запуска создает свои копии под следующими именами:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\herss.exe

Создает следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cvasds0.dll (­детектируется антивирусом Касперского как­ Trojan-GameThief.Win32.Magania.dbtv)

Обеспечивает Используя системный реестр, системные службы или специальные системные файлы, программа может обеспечивать свой запуск или запуск созданных ею файлов при каждой следующей загрузке ОС Windowsавтозагрузку следующих установленных файлов:

путем прописывания в ключах автозапуска системного реестра:

[ Ветка системного реестра HKEY_CURRENT_USERHKCU\Software\Microsoft\Windows\CurrentVersion\Run ] "cdoosoft" = " Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\herss.exe"

Вредоносная активность

Внедряет свой код в следующие процессы:

• explorer.exe

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys

С целью защиты от сетевых экранов и антивирусов ищет окна сообщений:

Класс:	AVP.AlertDialog
Класс:	AVP.Product_Notification

и путем нажатия на соответствующие кнопки разрешает программе запрашиваемое действие

Пытается найти файлы на компьютере пользователя по следующим маскам:

• *.*

Прочие действия

Устанавливает следующие системные службы (драйвера):

Имя службы:	AVPsys
Отображаемое имя службы:	AVPsys
Параметры запуска:	Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys
Тип запуска:	­по требованию­

Изменяет состояние следующих системных служб:

Имя службы:	AVPsys
Отображаемое имя службы:	AVPsys
Параметры запуска:	Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\cdaudio.sys

Удаляет следующие файлы на зараженном компьютере:

• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\herss.exe
• Каталог для хранения временных файлов ОС Windows (обычно, C:\Documents and Settings\<Имя_текущего_пользователя>\Local Settings\Temp)%Temp%\cvasds0.dll